3CX tedarik zinciri saldırısından etkilenen kurbanların bazıları, sistemlerini de Gopuram kötü amaçlı yazılımlarla geri yükledi, tehdit aktörleri bu ek kötü amaçlı yükü ile kripto para şirketlerini özellikle hedefliyor.
VoIP Communications Company 3CX, Lazarus Grubu olarak izlenen Kuzey Kore tehdit aktörleri tarafından şirketin müşterilerini büyük ölçekli bir tedarik zinciri saldırısında pencerelerinin ve macOS masaüstü uygulamalarının trojanize sürümleriyle enfekte etmek için tehlikeye atıldı.
Bu saldırıda, saldırganlar Windows masaüstü uygulaması tarafından kullanılan iki DLL'yi, bilgi çalan bir Truva atı gibi bilgisayarlara ek kötü amaçlı yazılım indirecek kötü amaçlı sürümlerle değiştirdiler.
O zamandan beri Kaspersky, en az 2020'den beri Lazarus Hacking Grubu tarafından kripto para şirketlerine karşı daha önce kullanılan Gopuram arka kapısının, aynı olayda sınırlı sayıda etkilenen 3CX müşterisinin sistemlerine ikinci aşama yük olarak konuşlandırıldığını keşfetti.
Gopuram, operatörleri tarafından Windows kayıt defterini ve hizmetlerini manipüle etmek, algılamadan kaçınmak için dosya zamanlama yapmak, zaten çalışan işlemlere yükleri enjekte etmek, açık kaynak çekirdek sürücü yardımcı programını kullanarak imzasız pencereleri yüklemek için kullanılabilen modüler bir arka kapıdır. Enfekte cihazlarda net komut aracılığıyla kısmi kullanıcı yönetimi.
Kaspersky araştırmacıları, "Yeni Gopuram enfeksiyonlarının keşfi, 3CX kampanyasını orta ila yüksek güvenle Lazarus tehdit aktörüne atfetmemize izin verdi. Gopuram'ın saldırı zincirindeki ana implant ve son yük olduğuna inanıyoruz." Dedi.
Dünya çapında gopuram enfeksiyonlarının sayısı Mart 2023'te arttı, saldırganlar kötü amaçlı bir kütüphane (wlbsctrl.dll) ve 3CX tedarik zinciri tarafından etkilenen kripto para şirketleri sistemlerinde şifreli bir kabuk kodu yükü (.txr.0.regtrans-ms) düşürüyor saldırı.
Kaspersky araştırmacıları, saldırganların gopuram'ı hassas bir şekilde kullandığını, sadece enfekte ondan daha az makineye yerleştirdiğini ve saldırganların motivasyonunun finansal olabileceğini ve bu tür şirketlere odaklanabileceğini düşündürdü.
Kaspersky uzmanları, "Telemetremizdeki kurbanlara gelince, enfekte olmuş 3CX yazılımının kurulumları tüm dünyada yer almaktadır ve Brezilya, Almanya, İtalya ve Fransa'da gözlenen en yüksek enfeksiyon rakamları."
Diyerek şöyle devam etti: "Gopuram arka kapı ondan az enfekte makineye dağıtıldığından, saldırganların gopuram'ı cerrahi hassasiyetle kullandıklarını gösteriyor. Ayrıca saldırganların kripto para birimi şirketlerine özel bir ilgisi olduğunu gözlemledik."
3CX ve Gopuram'ın arkasındaki tehdit aktörünün Lazarus olduğunu gösteren birçok gerçek var. Örneğin, Gopuram'ın Lazarus'a atfedilen bir arka kapı olan Applejeus ile birlikte konuşlandırıldığını gözlemledik. Ayrıca, Lazarus'un kripto para şirketlerine özel bir ilgisi olduğu bilinmektedir.
3CX, 3CXDESKTopApp elektron tabanlı masaüstü istemcisinin, saldırının ilk olarak 29 Mart'ta ortaya çıkmasından bir gün sonra kötü amaçlı yazılımları dahil etmekten ödün verdiğini ve birden fazla müşterinin yazılımın güvenlik yazılımı tarafından kötü niyetli olarak etiketlendiğini bildirdikten bir haftadan fazla bir süre sonra tehlikeye attığını doğruladı.
Şirket artık müşterilere tüm Windows ve MacOS sistemlerinden elektron masaüstü uygulamasını kaldırmalarını önermektedir (uygulamayı ağlar arasında kitlesel olarak kaldırmak için bir komut dosyası) ve İlerici Web Uygulaması (PWA) Web İstemcisi uygulamasına geçiş yapmak.
Bir grup güvenlik araştırmacısı, belirli bir IP adresinin 3CX'e karşı Mart 2023 tedarik zinciri saldırısından potansiyel olarak etkilenip etkilenmediğini tespit etmek için web tabanlı bir araç geliştirdi ve yayınladı.
Geliştirme ekibi, "Potansiyel olarak etkilenen tarafların tanımlanması, kötü niyetli altyapı ile etkileşime giren IP adreslerinin listelerine dayanıyor."
BleepingComputer olaydan (şimdi CVE-2023-29059 olarak izlenen) günler sonra bildirildiği gibi, arkasındaki tehdit aktörleri 10 yaşındaki bir Windows güvenlik açığını (CVE-2013-3900) kullandı. Ek yükler bırakmak meşru bir şekilde imzalandı.
Aynı güvenlik açığı, Windows bilgisayarları zloader bankacılık ile enfekte etmek için kullanılmıştır. Kullanıcı kimlik bilgilerini ve özel bilgileri çalabilen kötü amaçlı yazılım
3CX, 3CX telefon sisteminin günde 12 milyondan fazla kullanıcı olduğunu ve dünya çapında 600.000'den fazla şirket tarafından kullanıldığını söylüyor.
Müşteri listesi, American Express, Coca-Cola, McDonald's, Air France, IKEA, İngiltere'nin ulusal sağlık hizmeti ve BMW, Honda, Toyota ve Mercedes-Benz dahil olmak üzere birçok otomobil üreticisi gibi yüksek profilli şirketleri ve kuruluşları içerir.
Bilgisayar korsanları bir tedarik zinciri saldırısında 3CX masaüstü uygulamasını tehlikeye atıyor
3CX Saldırı'nda kullanılmış 'Sabit' Fix ile 10 yaşındaki Windows Hatası
Blackguard Stealer şimdi 57 kripto cüzdanı, uzantıları hedefliyor
Hackerlar Hedef.
Yeni kötü amaçlı yazılım, veri hırsızlığı için iş yönlendiricilerini enfekte eder, gözetim
Kaynak: Bleeping Computer